ThinkPHP 架構2.1，2.2和3.0版本URL命令執行漏洞

標籤：dex   版本   host   代碼   開啟   命令執行   修飾符   $path   code   

在開啟了Lite模式後，在ThinkPHP/extend/Mode/Lite/Dispatcher.class.php中第73行：

// 解析剩餘的URL參數
 $res = preg_replace(‘@(\w+)‘.$depr.‘([^‘.$depr.‘\/]+)@e‘, ‘$var[\‘\\1\‘]=“\\2\;”‘, implode($depr,$paths));

有兩點：一是加入了preg_replace使用了e修飾符，二是‘$var[\‘\\1\‘]="\\2\;"‘中雙引號中的PHP代碼可以直接被執行。

比如：

http://localhost/index.php/Index/index/name/$%[email protected]%28%29%7D

就會執行phpinfo()函數，列印出phpinfo頁。

預防：

官方已經給出了補丁，也可以自行將雙引號改成單引號防止PHP代碼被解析。

ThinkPHP 架構2.1，2.2和3.0版本URL命令執行漏洞